Как настроить маршрутизатор для маршрутизации всего через фильтр содержимого, который делает белый список

0

Рассмотрим роутер с adsl-подключением к интернету, 3-мя Ethernet-портами (от eth1 до eth3) и wifi.

Предположим, что существует Linux-машина (то есть для фильтрации содержимого (белый список - разрешить только определенные комбинации ips или ip / tcp или URL-адреса (белый список) и блокировать все остальное)), подключенная к eth1 на маршрутизаторе, но никогда не подключающаяся к Интернету. Может ли этот аппарат быть заблокирован доступ к adsl интернету навсегда. Как?

Предположим, что на eth2 и eth3 могут быть еще две машины и, возможно, еще больше через Wi-Fi.

Может ли маршрутизатор быть настроен так, чтобы ретранслировать весь трафик (необработанные пакеты физического уровня) от eth2, eth3 и всех узлов, подключенных к wifi, к eth1 и eth1 переадресует разрешенные пакеты обратно на маршрутизатор и отбрасывает остальные из них. Маршрутизатор будет использовать adsl (или eth2 eth3 wifi) для всех пакетов, поступающих из eth1. Аналогичная настройка должна существовать для всех пакетов, приходящих с adsl на eth2, eth3 и wifi (сначала необходимо отправить adsl на eth2, eth3 и wifi на eth1, а затем на соответствующие устройства). Как?

Network1
источник
Рассмотрите вопрос о том, с чем вы работаете. Неопределенные гипотетические вопросы приводят к неопределенным гипотетическим ответам. Никто не может знать, на что способен ваш маршрутизатор / сеть, ничего не зная об этом. Пожалуйста, отредактируйте свой вопрос с подробностями того, с чем вы работаете.
CharlieRB

Ответы:

0

Обычно фильтр содержимого настраивается как прокси-сервер, что означает, что он устанавливает подключения к Интернету от имени клиентов. В этой конфигурации было бы неразумно блокировать доступ к Интернету или он не мог функционировать. Если вы не фильтруете на лету больше как брандмауэр, то вы можете добавить правила, которые говорят, что пакеты, исходящие из фильтра контента, должны быть отброшены. Кроме того, большинство внутренних и всех коммерческих маршрутизаторов позволяют отбрасывать пакеты с определенным IP-адресом в качестве источника.

Если рассматриваемый маршрутизатор является внутренним маршрутизатором, тогда eth1 - eth3 и wifi соединены вместе. То есть они образуют одну и ту же сеть уровня 2, и обычно нет способа рассматривать их как отдельные порты и применять решения о маршрутизации индивидуально.

В этом случае вам нужно сделать шлюз по умолчанию сети фильтром контента. Это подтолкнет весь трафик с любого устройства, подключенного к маршрутизатору, к фильтру содержимого. Обычно вы не можете сделать это с внутренним маршрутизатором, но вы можете отключить службу DHCP на маршрутизаторе и установить ее в своем фильтре содержимого.

Тогда шлюзом фильтра содержимого по умолчанию будет маршрутизатор. Обратите внимание, что пакеты будут входить и выходить из одного и того же интерфейса фильтра содержимого, но это не должно быть проблемой. Если это окно Linux, убедитесь, что оно /etc/sysctl.confсодержит:

net.ipv4.conf.all.send_redirects = 0

Это остановит фильтр содержимого, сообщающий маршрутизатору подключиться напрямую к локальным IP-адресам, если пакеты поступают на его интерфейс, но предназначены для других IP-адресов в той же сети. Как они будут в вашем случае.

Последняя часть состоит в том, чтобы убедиться, что весь входящий трафик попадет в фильтр содержимого. Большинство отечественных маршрутизаторов позволяют добавлять статические маршруты. Если вы добавите статический маршрут для всего диапазона внутренней сети - например, 192.168.0.0/24, чтобы перейти на IP-адрес фильтра содержимого, это переопределит естественную тенденцию маршрутизаторов отправлять пакеты для устройств в сети, к которой он подключен. непосредственно к этим устройствам. Вместо этого все поступающее поступит в контент-фильтр.

Павел
источник